Esta nueva amenaza afecta a tu router y servidores
Existen muchas amenazas en la red que pueden poner en riesgo todo tipo de dispositivos y esto incluye también al propio router. En este artículo hablamos de FrtizFrog Botnet, una red de bots que es capaz de atacar a servidores SSH, servidores de centros de datos y también routers. Es un problema que ha afectado a muchos países del mundo entre los que se encuentra España. Vamos a dar también algunos consejos para estar protegidos.
FritzFrog Botnet, un problema más para los routers
Los investigadores de seguridad han detectado que esta amenaza lleva presente desde hace dos años. No obstante, los analistas de Akamai han detectado que ha aparecido una nueva versión con una función única que es capaz de utilizar la cadena de proxy Tor. Ha apuntado principalmente a servidores SSH expuestos en sistemas educativos, gubernamentales y de salud.
Este malware ha sido escrito en Golang y se considera como una amenaza avanzada y sofisticada. Una botnet de última generación capaz de poner en riesgo servidores y routers. Es capaz de combinar diferentes propiedades para lograr su objetivo.
Dentro de estas propiedades destacan la actualización constante de todas las bases de datos de los objetivos y equipos a los que han logrado atacar. También se caracteriza por su agresividad a la hora de realizar ataques de fuerza bruta, con un extenso diccionario. Además, es muy eficiente, ya que todos los objetivos se distribuyen de forma uniforme entre los nodos.
Es, por tanto, un malware muy sofisticado. Tiene cuatro procesos:
- ifconfig
- nginx
- apache2
- php-fpm
Otra peculiaridad con la que cuenta FritzFrog Botnet es que se actualiza diariamente e incluso varias veces al día. De esta forma destaca por ser una amenaza sofisticada y avanzada, capaz de poner en riesgo a muchos usuarios y organizaciones.
Cómo evitar esta amenaza
Los investigadores de seguridad de Akamai han trazado un plan de ruta para evitar FritzFrog Botnet y hacer que los servidores estén protegidos adecuadamente. Han dado las siguientes pistas para saber si esta amenaza se ejecuta en el sistema:
- Ejecutar procesos denominados nginx, ifconfig, php-fpm, apache2 o libexec, cuyo archivo ejecutable ya no existe en el sistema de archivos
- Escucha en el puerto 1234
- El tráfico TCP a través del puerto 5555 implica tráfico de red al grupo de Monero.
Pero más allá de explicar algunos puntos importantes para saber si nuestro servidor se ha visto afectado por esta amenaza, han dado algunas recomendaciones generales que podemos poner en práctica. El objetivo es evitar FritzFrog Botnet y aumentar al máximo la seguridad:
- Permitir la auditoría de inicio de sesión con una advertencia
- Supervisar el archivo authorized_hosts en Linux
- Configurar una lista de permisos explícitos de inicio de sesión SSH
- Permitir siempre el acceso SSH raíz
- Permitir la protección DNS basada en la nube
En definitiva, estos son los principales consejos que dan desde Akamai para estar protegidos frente a esta amenaza de seguridad que se ha actualizado recientemente. Pero más allá de ello, siempre recomendamos proteger correctamente el router de ataques DDoS y cualquier dispositivo conectado a la red. Esto significa, principalmente, cifrarlos con una buena contraseña y actualizar el firmware siempre que sea posible para corregir así vulnerabilidades.
El artículo Esta nueva amenaza afecta a tu router y servidores se publicó en RedesZone.
Powered by WPeMatico